Если компания собирает, использует, изменяет, хранит или осуществляет иные действия с личной информацией пользователей (например, Ф.И.О., телефон, e-mail и др.), в частности на сайте, она является оператором персональных данных и обязана особым образом организовать обработку личной информации.
Порядок осуществления указанных действий оформляется компанией в специальном документе - Privacy Policy (Политике конфиденциальности, Политике обработки персональных данных).
В Политике конфиденциальности необходимо отразить следующее.
Основания обработки
Для того, чтобы обработка была законной, она должна осуществляться на указанных в законодательстве основаниях, например:
- На основании согласия пользователя.
- Для исполнения заключенного с пользователем договора.
- Для осуществления прав и законных интересов оператора.
- При наличии соответствующего судебного акта, акта другого органа/должностного лица.
Хотя основания могут отличаться в разных юрисдикциях, получение согласия встречается в большинстве из них. Оно должно быть конкретным и даваться пользователем осознанно в условиях предварительного информирования о предмете согласия. При этом требований к конкретной форме согласия нет: форма должна позволять подтвердить факт получения согласия (исключением является письменная форма при обработке некоторых видов личной информации).
В процессе оформления согласия на обработку персональных данных рекомендуется указывать сведения об операторе и пользователе, перечень обрабатываемой информации, цель обработки и перечень действий в ее процессе, а также срок действия согласия.
Перечень данных, цели, способы их обработки
В Политике необходимо указать максимально подробно что, зачем и как будет обрабатываться. Например, можно указать, что номер телефона собирается в целях предоставления доступа пользователю к сайту (создания учетной записи и последующей авторизации), а также что оператор вправе их собирать, использовать, хранить, удалять и др.
Меры, принимаемые для защиты имеющихся данных
В качестве мер защиты можно указать как технические (системы обнаружения и предотвращения вторжений, шифрование данных на сервере, двухфакторную аутентификацию и др.), так и организационные (периодические аудиты защиты данных и др.).
Порядок передачи данных третьим лицам
Если оператор передает собранную личную информацию третьим лицам, он обязательно должен указать, в каких случаях это возможно. Например, если это аффилированные с оператором лица, если пользователь дал согласие и др. Отдельно в документации необходимо отметить, будет ли осуществляться трансграничная передача данных.
Порядок осуществления прав пользователя
Законодательством пользователю гарантируются определенные права в сфере защиты персональных данных. Так, например, он вправе отозвать свое согласие на обработку, изменить направленную ранее оператору информацию, попросить оператора удалить информацию или ограничить ее обработку, и др. На запросы, связанные с реализацией таких прав, оператор должен сразу же реагировать. Конечно, осуществление прав пользователей может иметь пределы: например, оператор вправе не удалять некоторую информацию при получении соответствующего запроса, если на него законом возложена обязанность ее хранить.
Ограничение ответственности оператора
Оператор вправе указать, что он принимает все возможные меры для защиты информации, однако существуют ситуации, ответственность за которые он не может нести (например, утечка данных произошла в результате технического сбоя, не по вине оператора).
Назначение сотрудника, ответственного за работу компании с персональными данными
На сегодняшний день в большинстве юрисдикций операторы обязаны назначать специального сотрудника, который будет контролировать реализацию установленных в Политике конфиденциальности порядков и процедур.
Сведения об операторе
Необходимо указать данные о компании, а также адрес электронной почты, куда пользователи могут обращаться по вопросам персональных данных.
Privacy Policy представляет собой важный документ, который помогает обеспечить защиту личной информации и приверженность компании принципам конфиденциальности и законности, а также избежать штрафов, размер которых может достигать 20 миллионов евро. Такой документ призван установить прозрачные и ответственные отношения в сфере обработки персональных данных.
В оформлении Privacy Policy помогут юристы GMT Legal. Мы учтем все нюансы вашего бизнеса, требования применимого законодательства и разработаем документ, который будет эффективно защищать права и интересы вас и ваших пользователей.